CN112822197A - 一种安全接入控制的方法和*** - Google Patents

一种安全接入控制的方法和*** Download PDF

Info

Publication number
CN112822197A
CN112822197A CN202110027451.4A CN202110027451A CN112822197A CN 112822197 A CN112822197 A CN 112822197A CN 202110027451 A CN202110027451 A CN 202110027451A CN 112822197 A CN112822197 A CN 112822197A
Authority
CN
China
Prior art keywords
access
network
user terminal
network parameters
message
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
CN202110027451.4A
Other languages
English (en)
Inventor
何顺民
何梓菁
何晓明
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Individual
Original Assignee
Individual
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Individual filed Critical Individual
Priority to CN202110027451.4A priority Critical patent/CN112822197A/zh
Publication of CN112822197A publication Critical patent/CN112822197A/zh
Withdrawn legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0892Network architectures or network communication protocols for network security for authentication of entities by using authentication-authorization-accounting [AAA] servers or protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/101Access control lists [ACL]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/102Entity profiles
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Business, Economics & Management (AREA)
  • Accounting & Taxation (AREA)
  • Power Engineering (AREA)
  • Small-Scale Networks (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本公开提出了一种利用802.1x认证安全接入控制的方法和***。用户终端通过EAPOL协议由认证服务器进行认证后,获得接入网络的授权端口,同时由所述认证服务器对所述用户终端访问网络资源进行授权,获取网络参数;所述网络参数由所述认证服务器分配,由所述认证服务器向所述接入设备发送的RADIUS Access‑Accept消息携带;所述接入设备从收到的所述RADIUS Access‑Accept消息解析所述网络参数,并在向所述用户终端发送的EAP‑Success消息中携带所述网络参数;同时,所述接入设备根据解析的用户IP地址在所述受控端口动态生成访问控制列表,只允许源IP地址匹配的合法用户数据报文通过。用户终端从接收的EAP‑Success消息中提取所述网络参数,并自动安装在本终端对应的网络配置中。根据本公开的技术方案可简化设备配置和复杂度,用户终端不需要任何配置操作就可以立即开始安全访问网络资源,而且阻止了非授权用户接入网络。

Description

一种安全接入控制的方法和***
技术领域
本公开涉及数据通信网络技术领域,尤其涉及一种利用802.1x认证的安全接入控制方法和***。
背景技术
802.1x认证又称为可扩展认证协议(EAPoL, Extensible AuthenticationProtocol over Local Area Network)认证,目的是为了解决局域网用户接入认证问题。802.1x协议是一种基于以太网端口的网络接入控制协议,在局域网连接用户终端的接入设备的端口这一级,接入设备通过认证来控制用户对网络资源的访问。802.1x认证***为典型的Client/Server结构,如图1所示,包括三个实体:客户端、接入设备和认证服务器。客户端是位于局域网段一端的一个实体,由连接该链路另一端的接入设备对其进行认证。客户端一般为一个用户终端设备,用户可以通过启动客户端软件发起802.1x认证。客户端必须支持EAPoL。接入设备是位于局域网段一端的另一个实体,对所连接的客户端进行认证。接入设备通常为支持802.1x协议的网络设备,它为客户端提供接入局域网的接口。认证服务器是为接入设备提供认证服务的实体,认证服务器用于对用户进行认证、授权和计费,通常为RADIUS服务器。
标准802.1x认证本质上解决用户访问网络资源的通道问题,当认证服务器验证用户身份的合法性后,授权接入设备打开连接用户终端的接入端口。它可以限制未经授权的用户终端通过接入端口访问网络。在认证通过之前,802.1x只允许EAPoL协议数据通过接入设备的接入端口;认证通过以后,正常的业务数据才可以顺利通过接入端口。
标准802.1x不解决用户终端网络参数分配、协商和获取的问题。通常情况下,用户终端通过802.1x认证后,需要静态配置网络参数(包括IP地址、子网掩码、默认网关地址、DNS地址等)或通过动态主机配置协议(DHCP)获取网络参数才可以对网络资源进行访问。静态配置方式增加了手工操作麻烦,不能适应变化的网络环境;动态配置方式需要安装额外的配置协议,如DHCP,增加了用户终端的复杂性。怎样在不增加终端的复杂性情况下,通过对标准802.1x进行适当扩展,同时实现接入端口的授权和网络参数的获取,是网络需要解决的问题,具有现实意义。
另一方面,标准802.1x仍然存在接入控制的安全漏洞问题。当用户终端通过802.1x认证后,接入设备便提供了该用户终端接入网络的通道,用户可以使用任何IP地址访问网络资源,某些恶意用户甚至利用这个安全漏洞向网络发起各种攻击行为。而且,一些用户通过搭建网桥网络接入多个用户终端,这种情况下只要有一个用户终端获得授权端口,其他用户终端便可以搭便车方式接入网络,这增加了网络监管难度。图2给出了多个终端通过以太网交换机连接到接入设备的网络环境示例。现有技术通过对接入设备进行复杂的接入控制配置来增强安全性,如手工配置访问控制列表(ACL),手工配置虚拟局域网(VLAN)+IP地址+介质访问控制(MAC)地址等多种形式的绑定关系。这种方式一方面增加了网络维护的复杂性,另一方面也不适应终端移动、MAC/IP地址变更等动态变化的网络环境。需要提供一种无需人工干预的自动化的接入控制手段实现用户终端安全访问网络资源。
发明内容
本公开要解决的技术问题是在不增加用户终端复杂性的情况下,通过对标准802.1x协议进行适当扩展,同时新增定义RADIUS属性携带网络参数,实现用户终端接入端口的授权和网络参数的获取,为用户访问网络提供便利。同时,在接入设备上实现动态自动化的ACL配置和删除操作,减少人工干预所带来的网络维护的复杂性,实现用户终端安全可控接入网络。
根据本公开一方面,提出一种利用802.1x认证的安全接入控制方法,包括:
用户终端通过EAPOL协议由认证服务器进行认证后,获得接入网络的授权端口,同时由所述认证服务器对所述用户终端访问网络资源进行授权,获取网络参数;
所述网络参数由所述认证服务器分配,由所述认证服务器向所述接入设备发送的RADIUS Access-Accept消息携带所述网络参数;
所述接入设备从收到的所述RADIUS Access-Accept消息解析所述网络参数,并在向所述用户终端发送的EAP-Success消息中携带所述网络参数;同时,所述接入设备根据解析的用户IP地址动态生成访问控制列表,只允许源IP地址匹配的合法用户数据报文通过;
所述用户终端从接收的所述EAP-Success消息中提取所述网络参数,并自动安装在本终端对应的网络配置中,无需任何配置操作即可访问网络资源。
进一步地,认证服务器通过对所述用户终端的合法性进行验证后,为所述用户终端分配网络参数,所述网络参数至少包括:IP地址、子网掩码、默认网关地址、DNS地址。
进一步地,在现有的RADIUS属性中新增定义网络参数属性;所述网络参数属性至少包含新增定义的5个子属性:用户IP地址子属性、子网掩码子属性、默认网关地址子属性、主DNS地址子属性、从DNS地址子属性。
进一步地,对所述标准EAP-Success消息进行扩展,所述接入设备用所述扩展的EAP-Success消息的Data域字段承载收到的所述RADIUS Access-Accept消息携带的所述网络参数属性字段;同时,打开连接所述用户终端的受控端口,允许所述用户的业务流通过所述端口访问网络。
进一步地,所述网络参数属性至少包含新增定义的用户IP地址子属性、子网掩码子属性、默认网关地址子属性、主DNS地址子属性、从DNS地址子属性。
进一步地,对所述标准EAP-Success消息进行扩展,所述接入设备用所述扩展的EAP-Success消息的Data域字段承载收到的所述RADIUS Access-Accept消息携带的所述网络参数属性字段;同时,打开连接所述用户终端的受控端口,允许所述用户的业务流通过所述端口访问网络。
进一步地,所述接入设备从收到的所述RADIUS Access-Accept消息解析所述网络参数,根据解析的所述用户IP地址动态生成访问控制列表,只允许源IP地址匹配的合法用户数据报文通过。
进一步地,所述接入设备收到所述用户终端发送的EAPOL-Logoff报文时,自动删除所述用户终端的访问控制列表;所述接入设备把端口状态从授权状态改变成未授权状态,并向所述用户终端发送EAP-Failure报文。
根据本公开的另一方面,还提出一种利用802.1x认证获取网络参数的***,包括:
用户终端,安装802.1x认证客户端软件,发起802.1x认证流程,通过EAPOL协议与所述接入设备进行通信;
接入设备,用于提供连接所述用户终端的以太网端口,安装802.1x认证服务端软件,通过EAPOL协议与所述用户终端进行通信;安装RADIUS客户端软件,通过RADIUS协议与所述认证服务器进行通信;
认证服务器,用于对所述用户终端进行认证和授权,认证通过后分配所述网络参数,安装RADIUS服务端软件,通过RADIUS协议与所述接入设备进行通信。
进一步地,所述认证服务器为所述合法用户终端分配所述网络参数,并由发送到所述接入设备的RADIUS Access-Accept消息携带所述网络参数。
进一步地,所述接入设备从收到的所述RADIUS Access-Accept消息解析所述网络参数,并在向所述用户终端发送的EAP-Success消息中携带所述网络参数;同时,打开连接所述用户终端的受控端口,允许所述用户的业务流通过所述端口访问网络;所述接入设备根据解析的所述用户IP地址在所述受控端口动态生成访问控制列表,只允许源IP地址匹配的合法用户数据报文通过。
进一步地,所述用户终端从接收的所述EAP-Success消息中提取网络参数并自动安装在本终端对应的网络配置中,无需任何配置操作即可安全访问网络资源。
通过以下参照附图对本公开的示例性实施例的详细描述,本公开的其它特征及其优点将会变得清楚。
附图说明
构成说明书的一部分的附图描述了本公开的实施例,并且连同说明书一起用于解释本公开的原理。
参照附图,根据下面的详细描述,可以更加清楚地理解本公开,其中:
图1为802.1x认证***结构示意图;
图2给出了多个终端通过以太网交换机连接到接入设备的网络环境示例;
图3为标准EAP协议的帧结构;
图4为标准RADIUS协议的帧结构;
图5为RADIUS属性域结构;
图6为本公开的RADIUS属性包含的子属性结构;
图7为本公开的标准EAP协议扩展的帧结构;
图8为本公开的基于802.1x认证获取网络参数流程。
具体实施方式
现在将参照附图来详细描述本公开的各种示例性实施例。应注意到:除非另外具体说明,否则在这些实施例中阐述的部件和步骤的相对布置、数字表达式和数值不限制本公开的范围。同时,应当明白,为了便于描述,附图中所示出的各个部分的尺寸并不是按照实际的比例关系绘制的。
以下对至少一个示例性实施例的描述实际上仅仅是说明性的,决不作为对本公开及其应用或使用的任何限制。
对于相关领域普通技术人员已知的技术、方法和设备可能不作详细讨论,但在适当情况下,技术、方法和设备应当被视为授权说明书的一部分。
在这里示出和讨论的所有示例中,任何具体值应被解释为仅仅是示例性的,而不是作为限制。因此,示例性实施例的其它示例可以具有不同的值。
应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步讨论。
为使本公开的目的、技术方案和优点更加清楚明白,以下结合具体实施例,并参照附图,对本公开进一步详细说明。
802.1x协议采用EAP协议来实现用户终端、接入设备和认证服务器之间认证信息的交互。通过支持EAP协议,可以使用认证服务器来实现各种认证机制,接入设备仅仅需要传送认证信息,并根据认证返回的结果控制受控端口的状态。标准EAP协议的帧结构如图3所示。
其中,1字节Code字段,该值表示EAP帧类型,共有4种:Request、Response、Success、Failure。
1字节Identifier字段,该值用于匹配Request消息和Response消息。
2字节Length字段,该值表示EAP帧的总长度,包含Code、Identifier、Length和Data域,单位为字节。
可变长Data域字段,该字段包含EAP消息的内容,由Code类型决定。
由于标准Success和Failure类型的消息没有Data域字段的内容,相应的Length域的值为4。
RADIUS协议用于接入设备和认证服务器之间信息交互、由认证服务器完成认证、授权、计费服务的一种网络传输协议。标准RADIUS协议的帧结构如图4所示。
其中,1字节Code字段,指示RADIUS消息的类型。
1字节Identifier字段,取值范围为0~255,用于匹配请求包和响应包。
2字节Length字段,表示整个报文的有效长度。
16字节Authenticator认证字段,在不同消息报文中用法不一样:
1)在Access-Request消息中的认证字称为请求认证字,是16字节随机数,认证字的值要不能被预测,并且在一个共享密钥的生命期内唯一;
2)在Access-Accept、Access-Reject和Access-Challenge消息中的认证字称为访问回应认证字,访问回应认证字的值定义为MD5(Code+ID+Length+请求认证字+Attributes+Secret)。
属性Attributes域,用来在请求和响应报文中携带详细的认证、授权、信息和配置细节,来实现认证、授权、计费等功能,一条RADIUS报文中可以携带多条属性域。每条属性域采用(Type、length、Value)三元组的形式提供。属性域的格式如图5所示。
由于标准RADIUS属性没有定义本公开中认证服务器为合法用户分配的网络参数,本公开新增定义网络参数属性,属性类型Type字段选择一个尚未分配的值。同时,本公开的网络参数至少包含5个参数,分别为:用户IP地址、子网掩码、默认网关地址、主DNS地址、从DNS地址。本公开新增定义这5个子属性,RADIUS属性的子属性字段如图6所示。在RADIUS属性结构的Value域中子属性Sub-Type字段定义:
Sub-Type=1代表用户IP地址;
Sub-Type=2代表子网掩码;
Sub-Type=3代表默认网关地址;
Sub-Type=4代表主DNS地址;
Sub-Type=5代表从DNS地址。
本公开中,认证服务器向认证通过后的合法用户分配的网络参数由所述认证服务器向所述接入设备发送的RADIUS Access-Accept消息携带。当接入设备接收到RADIUSAccess-Accept消息后,解析所述网络参数,并在向用户终端发送的EAP-Success消息中携带所述网络参数。由于标准EAP-Success消息没有Data域字段的内容,本公开对标准EAP-Success消息进行扩展,由Data域携带网络参数,把RADIUS Access-Accept消息中的网络参数属性内容完全复制到扩展EAP-Success消息的Data域中,扩展的EAP-Success消息格式如图7所示。
当用户终端收到携带网络参数的扩展的EAP-Success消息后,提取所述网络参数并自动安装在终端对应的网络配置中。用户终端不需要任何配置操作就可以立即开始访问网络资源。
下面实施例给出了本公开基于802.1x认证的安全接入控制工作流程,如图8所示。
在步骤801中,当用户有网络连接需求时打开802.1x客户端程序,输入已经申请、登记过的用户名和密码,发起连接请求(EAPOL-Start报文)。此时,客户端程序将发出请求认证的报文给接入设备,开始启动一次认证过程。
在步骤802中,接入设备收到开始认证的请求后,将发出一个请求帧(EAP-Request/Identity报文)要求用户的客户端程序发送输入的用户名。
在步骤803中,客户端程序响应认证***发出的请求,将用户名信息通过应答帧(EAP-Response/Identity报文)发送给接入设备。
在步骤804中,接入设备则将客户端送上来的数据帧经过封包处理后生成RADIUSAccess-Request报文,转发给认证服务器进行处理。
在步骤805中,认证服务器收到接入设备转发上来的用户名信息后,将该信息与数据库中的用户名相比对,若相同,则用随机生成的一个加密字对它进行加密处理,并在数据库保存在该用户名对应的密码信息,同时也将此加密字通过RADIUS Access-Challenge报文传送给接入设备,再由接入设备解封包处理后生成EAP-Request/MD5 Challenge报文,传给客户端程序。
在步骤806中,客户端程序收到由接入设备传来的加密字后,用该加密字对口令部分进行加密处理,生成EAP-Response/MD5 Challenge报文,并通过接入设备封装为RADIUSAccess-Request报文传给认证服务器。
在步骤807中,认证服务器将收到的由RADIUS Access-Request报文携带的已加密的密码信息和本地经过加密运算后的密码信息进行对比,如果相同,则认为该用户为合法用户,则为该合法用户分配网络参数,包括用户IP地址、子网掩码、默认网关地址、主DNS地址、从DNS地址等参数。这些网络参数以本公开定义的网络参数属性封装在RADIUS Access-Accept报文消息里,向接入设备反馈认证通过的RADIUS Access-Accept报文消息。接入设备对收到的RADIUS Access-Accept报文消息进行解析,直接把网络参数属性内容复制到本公开定义大的扩展EAP-Success报文消息中转发给用户终端,并打开受控端口,允许用户的业务流通过端口访问网络。否则,反馈认证失败的EAP-Failure报文消息,并保持接入端口在关闭状态,只允许认证信息数据通过而不允许业务数据通过。同时,接入设备根据解析的用户IP地址在受控端口动态生成访问控制列表,只允许源IP地址匹配的合法用户数据报文通过。
用户终端从接收的EAP-Success消息中提取网络参数,并自动安装在本终端对应的网络配置中,无需任何配置操作即可安全访问网络资源。
在步骤808中,客户端也可以发送EAPOL-Logoff报文给接入设备,主动要求下线。接入设备收到用户终端发送的EAPOL-Logoff报文时,自动删除用户终端的访问控制列表。接入设备把端口状态从授权状态改变成未授权状态,并向客户端发送EAP-Failure报文。
至此,已经详细描述了本公开。为了避免遮蔽本公开的构思,没有描述本领域所公知的一些细节。本领域技术人员根据上面的描述,完全可以明白如何实施这里公开的技术方案。
可能以许多方式来实现本公开的方法以及装置。例如,可通过软件、硬件、固件或者软件、硬件、固件的任何组合来实现本公开的方法以及装置。用于方法的步骤的上述顺序仅是为了进行说明,本公开的方法的步骤不限于以上具体描述的顺序,除非以其它方式特别说明。此外,在一些实施例中,还可将本公开实施为记录在记录介质中的程序,这些程序包括用于实现根据本公开的方法的机器可读指令。因而,本公开还覆盖存储用于执行根据本公开的方法的程序的记录介质。
虽然已经通过示例对本公开的一些特定实施例进行了详细说明,但是本领域的技术人员应该理解,以上示例仅是为了进行说明,而不是为了限制本公开的范围。本领域的技术人员应该理解,可在不脱离本公开的范围和精神的情况下,对以上实施例进行修改。本公开的范围由所附权利要求来限定。

Claims (10)

1.一种利用802.1x认证的安全接入控制方法,其特征在于,包括:
用户终端通过EAPOL协议由认证服务器进行认证后,获得接入网络的授权端口,同时由所述认证服务器对所述用户终端访问网络资源进行授权,获取网络参数;
所述网络参数由所述认证服务器分配,由所述认证服务器向所述接入设备发送的RADIUS Access-Accept消息携带所述网络参数;
所述接入设备从收到的所述RADIUS Access-Accept消息解析所述网络参数,并在向所述用户终端发送的EAP-Success消息中携带所述网络参数;同时,所述接入设备根据解析的用户IP地址在所述受控端口动态生成访问控制列表,只允许源IP地址匹配的合法用户数据报文通过;
所述用户终端从接收的所述EAP-Success消息中提取所述网络参数,并自动安装在本终端对应的网络配置中,无需任何配置操作即可访问网络资源。
2.根据权利要求1所述的方法,其特征在于,所述认证服务器通过对所述用户终端的合法性进行验证后,为所述用户终端分配网络参数,所述网络参数至少包括:用户IP地址、子网掩码、默认网关地址、DNS地址;所述认证服务器向接入设备发送RADIUS Access-Accept消息携带所述网络参数属性。
3.根据权利要求2所述的方法,其特征在于,在现有的RADIUS属性中新增定义网络参数属性;所述网络参数属性至少包含新增定义的5个子属性:用户IP地址子属性、子网掩码子属性、默认网关地址子属性、主DNS地址子属性、从DNS地址子属性。
4.根据权利要求1所述的方法,其特征在于,对所述标准EAP-Success消息进行扩展,所述接入设备用所述扩展的EAP-Success消息的Data域字段承载收到的所述RADIUS Access-Accept消息携带的所述网络参数属性字段;同时,打开连接所述用户终端的受控端口,允许所述用户的业务流通过所述端口访问网络。
5.根据权利要求1所述的方法,其特征在于,所述接入设备从收到的所述RADIUSAccess-Accept消息解析所述网络参数,根据解析的所述用户IP地址在所述受控端口动态生成访问控制列表,只允许源IP地址匹配的合法用户数据报文通过。
6.根据权利要求1所述的方法,其特征在于,所述接入设备收到所述用户终端发送的EAPOL-Logoff报文时,自动删除所述用户终端的访问控制列表;所述接入设备把端口状态从授权状态改变成未授权状态,并向所述用户终端发送EAP-Failure报文。
7.一种利用802.1x认证安全接入控制***,其特征在于,包括:
用户终端,安装802.1x认证客户端软件,发起802.1x认证流程,通过EAPOL协议与所述接入设备进行通信;
接入设备,用于提供连接所述用户终端的以太网端口,安装802.1x认证服务端软件,通过EAPOL协议与所述用户终端进行通信;安装RADIUS客户端软件,通过RADIUS协议与所述认证服务器进行通信;
认证服务器,用于对所述用户终端进行认证和授权,认证通过后分配所述网络参数,安装RADIUS服务端软件,通过RADIUS协议与所述接入设备进行通信。
8.根据权利要求7所述的***,其特征在于,所述认证服务器为所述合法用户终端分配所述网络参数,并由发送到所述接入设备的RADIUS Access-Accept消息携带所述网络参数。
9.根据权利要求7所述的***,其特征在于,所述接入设备从收到的所述RADIUSAccess-Accept消息解析所述网络参数,并在向所述用户终端发送的EAP-Success消息中携带所述网络参数;同时,打开连接所述用户终端的受控端口,允许所述用户的业务流通过所述端口访问网络;所述接入设备根据解析的所述用户IP地址在所述受控端口动态生成访问控制列表,只允许源IP地址匹配的合法用户数据报文通过。
10.根据权利要求7所述的***,其特征在于,所述用户终端从接收的所述EAP-Success消息中提取网络参数并自动安装在本终端对应的网络配置中,无需任何操作即可安全访问网络资源。
CN202110027451.4A 2021-01-10 2021-01-10 一种安全接入控制的方法和*** Withdrawn CN112822197A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202110027451.4A CN112822197A (zh) 2021-01-10 2021-01-10 一种安全接入控制的方法和***

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202110027451.4A CN112822197A (zh) 2021-01-10 2021-01-10 一种安全接入控制的方法和***

Publications (1)

Publication Number Publication Date
CN112822197A true CN112822197A (zh) 2021-05-18

Family

ID=75869812

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202110027451.4A Withdrawn CN112822197A (zh) 2021-01-10 2021-01-10 一种安全接入控制的方法和***

Country Status (1)

Country Link
CN (1) CN112822197A (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115208652A (zh) * 2022-07-07 2022-10-18 广州市大周电子科技有限公司 一种动态网络资源访问管控方法

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101217575A (zh) * 2008-01-18 2008-07-09 杭州华三通信技术有限公司 一种在用户终端认证过程中分配ip地址的方法及装置
CN101656760A (zh) * 2009-09-17 2010-02-24 杭州华三通信技术有限公司 一种地址分配方法和一种接入控制设备
CN101917398A (zh) * 2010-06-28 2010-12-15 北京星网锐捷网络技术有限公司 一种客户端访问权限控制方法及设备
CN102196434A (zh) * 2010-03-10 2011-09-21 ***通信集团公司 无线局域网终端认证方法及***
US20140237572A1 (en) * 2011-08-18 2014-08-21 Hangzhou H3C Technologies Co., Ltd. Portal authentication method and access controller

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101217575A (zh) * 2008-01-18 2008-07-09 杭州华三通信技术有限公司 一种在用户终端认证过程中分配ip地址的方法及装置
CN101656760A (zh) * 2009-09-17 2010-02-24 杭州华三通信技术有限公司 一种地址分配方法和一种接入控制设备
CN102196434A (zh) * 2010-03-10 2011-09-21 ***通信集团公司 无线局域网终端认证方法及***
CN101917398A (zh) * 2010-06-28 2010-12-15 北京星网锐捷网络技术有限公司 一种客户端访问权限控制方法及设备
US20140237572A1 (en) * 2011-08-18 2014-08-21 Hangzhou H3C Technologies Co., Ltd. Portal authentication method and access controller

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115208652A (zh) * 2022-07-07 2022-10-18 广州市大周电子科技有限公司 一种动态网络资源访问管控方法
CN115208652B (zh) * 2022-07-07 2024-05-28 广州市大周电子科技有限公司 一种动态网络资源访问管控方法

Similar Documents

Publication Publication Date Title
US7673146B2 (en) Methods and systems of remote authentication for computer networks
US7788705B2 (en) Fine grained access control for wireless networks
US8589675B2 (en) WLAN authentication method by a subscriber identifier sent by a WLAN terminal
US8019082B1 (en) Methods and systems for automated configuration of 802.1x clients
Congdon et al. IEEE 802.1 X remote authentication dial in user service (RADIUS) usage guidelines
US7533407B2 (en) System and methods for providing network quarantine
US10764264B2 (en) Technique for authenticating network users
US9729514B2 (en) Method and system of a secure access gateway
US7082535B1 (en) System and method of controlling access by a wireless client to a network that utilizes a challenge/handshake authentication protocol
US8555344B1 (en) Methods and systems for fallback modes of operation within wireless computer networks
US7752320B2 (en) Method and apparatus for content based authentication for network access
Chen et al. Extensible authentication protocol (EAP) and IEEE 802.1 x: tutorial and empirical experience
KR100894555B1 (ko) 속성 증명서를 이용하여 네트워크 디바이스에 대한 인증을가능케 하는 시스템 및 방법
CN112235235B (zh) 一种基于国密算法的sdp认证协议实现方法
EP2051432A1 (en) An authentication method, system, supplicant and authenticator
US20060212928A1 (en) Method and apparatus to secure AAA protocol messages
US11075907B2 (en) End-to-end security communication method based on mac protocol using software defined-networking, and communication controller and computer program for the same
CN101599967B (zh) 基于802.1x认证***的权限控制方法及***
CN101714918A (zh) 一种登录vpn的安全***以及登录vpn的安全方法
CN101986598B (zh) 认证方法、服务器及***
CN104901940A (zh) 一种基于cpk标识认证的802.1x网络接入方法
CN107995216B (zh) 一种安全认证方法、装置、认证服务器及存储介质
CN102271120A (zh) 一种增强安全性的可信网络接入认证方法
US8793782B1 (en) Enforcing a health policy in a local area network
CN112822197A (zh) 一种安全接入控制的方法和***

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
WW01 Invention patent application withdrawn after publication
WW01 Invention patent application withdrawn after publication

Application publication date: 20210518